| Line 1... |
Line 1... |
| 1 |
#!/bin/sh
|
1 |
#!/bin/sh
|
| 2 |
# $Id: alcasar-iptables.sh 573 2011-04-14 10:49:43Z franck $
|
2 |
# $Id: alcasar-iptables.sh 574 2011-04-16 07:27:43Z franck $
|
| 3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
3 |
# Script de mise en place des regles du parefeu d'Alcasar (mode normal)
|
| 4 |
# This script write the netfilter rules for ALCASAR
|
4 |
# This script write the netfilter rules for ALCASAR
|
| 5 |
# Rexy - 3abtux - CPN
|
5 |
# Rexy - 3abtux - CPN
|
| 6 |
# There are three channels for log :
|
6 |
# There are three channels for log :
|
| 7 |
# 1 (default) for tracability;
|
7 |
# 1 (default) for tracability;
|
| Line 215... |
Line 215... |
| 215 |
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
|
215 |
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -j ULOG --ulog-nlgroup 3 --ulog-qthreshold 10 --ulog-prefix "RULE rej-ext -- DROP"
|
| 216 |
|
216 |
|
| 217 |
#############################
|
217 |
#############################
|
| 218 |
# filtering outside OUTPUT. #
|
218 |
# filtering outside OUTPUT. #
|
| 219 |
#############################
|
219 |
#############################
|
| - |
|
220 |
# Obligatoire pour permettre les requêtes proxysées pour les exceptions domain et URLs (... à afiner avec celle du dessous)
|
| - |
|
221 |
$IPTABLES -A OUTPUT -o $EXTIF --dport http -j ACCEPT
|
| 220 |
# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur
|
222 |
# On laisse tout sortir sur toutes les cartes sauf celle qui est connectée sur l'extérieur
|
| 221 |
# Everything is allowed but traffic through outside network interface
|
223 |
# Everything is allowed but traffic through outside network interface
|
| 222 |
$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT
|
224 |
$IPTABLES -A OUTPUT ! -o $EXTIF -j ACCEPT
|
| 223 |
# Obligatoire pour permettre les requêtes proxysées pour les exceptions domain et URLs (... à afiner avec celle du dessus)
|
- |
|
| 224 |
$IPTABLES -A OUTPUT -o $EXTIF -j ACCEPT
|
- |
|
| - |
|
225 |
|
| 225 |
|
226 |
|
| 226 |
# On autorise les requêtes DNS vers les serveurs DNS identifiés
|
227 |
# On autorise les requêtes DNS vers les serveurs DNS identifiés
|
| 227 |
# Allow DNS requests to identified DNS servers
|
228 |
# Allow DNS requests to identified DNS servers
|
| 228 |
$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT
|
229 |
$IPTABLES -A OUTPUT -o $EXTIF -d $DNSSERVERS -p udp --dport domain -m state --state NEW -j ACCEPT
|
| 229 |
# On autorise les requêtes http sortantes
|
230 |
# On autorise les requêtes http sortantes
|